Как работают сертификаты SSL/TLS

Протокол Transport Layer Security (TLS) использует SSL-сертификаты для шифрования и проверки подлинности потоков данных для безопасного протокола передачи гипертекста (HTTPS). Криптографический протокол SSL обеспечивает безопасные зашифрованные соединения через Интернет через веб-браузеры, которые подключаются к веб-сайтам. SSL работает поверх HTTP для создания соединения HTTPS.

SSL-сертификаты

иногда называют SSL/TLS-сертификатами или просто TLS-сертификатами . TLS — это обновленная версия SSL.

Подобно SSL, HTTP накладывается поверх TLS для создания HTTPS. Он шифрует данные, которые иначе можно было бы прочитать, чтобы обеспечить улучшенную защиту приложений и веб-сайтов, требующих более высокой конфиденциальности и безопасности, таких как банковское дело, налогообложение и электронная коммерция. TLS также обеспечивает конфиденциальность между конечными точками передачи данных и повышает целостность данных, поэтому хакеры не могут перехватить или скомпрометировать личные данные.

Когда веб-браузер инициирует безопасное соединение через HTTPS, цифровой сертификат SSL/TLS отправляется в веб-браузер. Браузер проверяет информацию в сертификате и аутентифицирует ее в собственном корневом хранилище сертификатов. Таким образом сертификат обеспечивает безопасное зашифрованное соединение между браузером пользователя и веб-сервером организации или веб-сервером веб-сайта.

Когда эта функция работает, пользователи не будут видеть в своих браузерах предупреждающие сообщения, такие как «не уверен» или «ваше соединение не защищено». Они отображаются для небезопасных веб-сайтов.

Все основные браузеры, в том числе предоставляемые Microsoft (Internet Explorer, Edge), Google (Chrome), Apple (Safari) и Mozilla (Firefox), поддерживают собственные корневые хранилища сертификатов веб-браузеров. Здесь они размещают корневые сертификаты центров сертификации, которым издатели решили доверять их браузеры.

Как центр сертификации выдает цифровой сертификат

Сертификаты

SSL/TLS аутентифицируют и защищают веб-сайты, а также упрощают безопасное зашифрованное соединение. Они сообщают пользователям, что они посещают настоящий веб-сайт, отображая значок замка в веб-браузере.

Являясь важными компонентами PKI, сертификаты SSL/TLS требуют для работы цифровой сертификат. Здесь на помощь приходит ЦС.

Объект — организация или физическое лицо — может запросить цифровой сертификат у ЦС. Во-первых, он генерирует пару ключей, состоящую из следующего:

.

• закрытый ключ, который всегда держится в секрете и никому не должен показываться, включая УЦ; и

Открытый ключ

• , который упоминается в цифровом сертификате, выдаваемом ЦС. Заявитель также создает запрос на подпись сертификата (CSR), закодированный текстовый файл, в котором указывается информация, которая будет включена в сертификат, например:
  • доменное имя;
  • дополнительных или альтернативных доменных имени, включая поддомены;
  • организация; и
  • контактные данные, например, адрес электронной почты.

Информация, включенная в CSR, зависит от предполагаемого использования сертификата и уровня его проверки. Оба вышеуказанных процесса обычно выполняются на сервере или рабочей станции, где должен быть установлен сертификат.

TLS обеспечивает подлинность с помощью рукопожатия клиент-сервер через зашифрованное и безопасное соединение.

Затем заявитель отправляет CSR в ЦС, который проверяет информацию в CSR и личность заявителя. Затем центр сертификации создает цифровой сертификат, подписывает его в цифровой форме своим закрытым ключом и отправляет сертификат заявителю.

В этот момент этот цифровой сертификат может быть аутентифицирован — например, веб-браузером — с использованием открытого ключа ЦС. Браузер также может использовать сертификат для подтверждения того, что содержимое с цифровой подписью было отправлено законным лицом, которое владеет соответствующим закрытым ключом, и что эта информация не была изменена с момента ее подписания этим лицом.

ЦС часто принимают запросы от заявителей напрямую. Иногда они делегируют задачу аутентификации заявителей регистрационным органам (РА). ЦР собирает и аутентифицирует запросы цифровых сертификатов, а затем отправляет эти запросы в ЦС, который затем выдает сертификат для передачи через ЦР заявителю.

RA также может использоваться для маркетинга и поддержки клиентов. ЦС должен ограничить RA регистрацией сертификатов в пространстве имен домена, назначенном RA.

Корневые сертификаты и промежуточные сертификаты

ЦС играет жизненно важную роль в цепочке доверия, иерархической модели доверия, состоящей из корневых сертификатов, промежуточных сертификатов и сертификатов SSL. Его деятельность начинается с корневого сертификата, который используется в качестве окончательной основы для доверия ко всем сертификатам, выдаваемым центром.

Корневой сертификат вместе с закрытым ключом, связанным с этим сертификатом, обрабатывается с наивысшим уровнем безопасности и обычно хранится в автономном режиме на защищенном объекте. Он также может храниться на обесточенном устройстве, за исключением случаев, когда требуется сертификат.

ЦС будет использовать этот корневой сертификат для создания промежуточных сертификатов, т. е. сертификатов, используемых для подписи цифровых сертификатов, выданных центром. Корневой сертификат никогда не следует использовать непосредственно для подписи цифровых сертификатов. Различные промежуточные сертификаты предназначены для разных целей.

Это позволяет публике доверять выданным сертификатам, а также защищать корень, когда истекает срок действия промежуточного сертификата или он отзывается. Центры сертификации также могут выдавать цифровые сертификаты с использованием промежуточных сертификатов.

Сертификаты центра сертификации обычно образуют цепочки сертификатов. Прямоугольники представляют сертификаты, а примечание справа от каждого указывает ключи, используемые для подписи рассматриваемого сертификата.

Типы цифровых сертификатов

Центры сертификации

не просто выдают сертификаты SSL/TLS. Они могут выпускать другие типы сертификатов для различных вариантов использования, в том числе следующие:

• Сертификаты подписи кода используются издателями и разработчиками программного обеспечения для подписи своих дистрибутивов программного обеспечения. Затем конечные пользователи могут использовать их для аутентификации и проверки загрузки программного обеспечения от поставщика или разработчика.
• Сертификаты для подписи электронной почты позволяют организациям подписывать, шифровать и аутентифицировать электронную почту, используя безопасный/многоцелевой протокол Internet Mail Extensions для защищенных вложений электронной почты.
• Сертификаты подписи объекта позволяют подписывать и аутентифицировать любой тип программного объекта.
• Сертификаты подписи пользователя/клиента или сертификаты проверки подписи помогают людям справляться с различными потребностями аутентификации.

Цифровая подпись создается с помощью закрытого ключа, который шифрует подпись, в то время как хэш-данные генерируются и шифруются одновременно. Получатели используют открытые ключи подписывающих лиц для расшифровки подписей.

Что такое CA/Browser Forum?

Форум CA/Browser (CA/B) поддерживает рекомендации по всем аспектам создания, распространения и использования цифровых сертификатов, включая политики в отношении истечения срока действия и отзыва сертификатов. В этом форуме обычно участвуют общедоступные доверенные центры сертификации.

Большинство участников являются либо центрами сертификации, либо поставщиками веб-браузеров. Однако организации-потребители сертификатов также участвуют.

В соответствии с правилами форума CA/B, ЦС должен по договору потребовать от всех ЦС соблюдения этих правил и задокументировать их соблюдение. Сами ЦС также подчиняются обширным правилам и операционным проверкам.

Любые нарушения могут вызвать новые проверки и другие последствия, которые могут нанести ущерб репутации ЦС и снизить доверие к его работе и надежности.

Последнее обновление: сентябрь 2021 г.

Продолжить чтение О центре сертификации (ЦС)

• Объяснение аутентификации PKI: основы для ИТ-администраторов

• Как получить цифровой сертификат, подходящий для вашей сети

• Надежный? Риски центра сертификации и способы управления ими

• Как купить лучший SSL для вашего предприятия

• Как обнаружить поддельные сертификаты, которые выглядят настоящими

Копните глубже в управление идентификацией и доступом

• Сертификат X.509

  Автор: Александр Гиллис

• 3 типа сертификатов PKI и варианты их использования

  Автор: Изабелла Харфорд

• список отзыва сертификатов (CRL)

  Автор: Рахул Авати

• SSL (уровень защищенных сокетов)

  Автор: TechTarget Contributor

Сеть

• 
  Ознакомьтесь с компонентами платформы VMware SASE.

  Платформа VMware SASE предоставляет множество мощных сетевых возможностей и функций безопасности, но она поставляется в предложении, которое кажется многим …

• 
  Baptist Health переходит от Cisco к Arista

  Baptist Health в Джексонвилле, штат Флорида, ожидает, что операционная система Arista для единой проводной, беспроводной сети и сети центров обработки данных будет …

• 
  7 характеристик сетей следующего поколения

  Модернизация сети стала важной задачей для многих организаций. Узнайте, какие технологии, такие как SASE, AI, автоматизация…

ИТ-директор

• 
  Новый законопроект призван разрушить рынок цифровой рекламы

  Двухпартийный закон об Америке направлен на усиление конкуренции на рынке цифровой рекламы, что, по мнению сенаторов США, …

• 
  Мероприятие MIT-CIO исследует цифровую устойчивость в условиях сбоев

  Аллан Тейт, исполнительный председатель симпозиума Sloan CIO в Массачусетском технологическом институте, делится обзором мероприятия 2023 года, включая такие основные направления, как . ..

• 
  Ответственный ИИ помогает снизить этические и юридические риски

  Генеративный ИИ подвергает компании новым рискам. Но эксперты EmTech Digital утверждают, что включение ответственного ИИ в …

Рабочий стол предприятия

• 
  Нужен ли macOS сторонний антивирус на предприятии?
  Компьютеры Mac

  известны своей безопасностью, но это не означает, что они защищены от вирусов и других угроз. ИТ-команды могут изучить …

• 
  Устройства, которые работают только с Microsoft Teams, в нашем будущем?

  Microsoft Teams постоянно расширяется и добавляет новые функции, так что же дальше с этой многофункциональной платформой? Может быть …

• 
  Настройка режима киоска Windows 11 4 различными способами

  Режим киоска Windows 11 предлагает улучшения по сравнению с предыдущими версиями для администраторов настольных компьютеров. ИТ-специалисты должны изучить эти четыре метода и…

Облачные вычисления

• 
  Как создать оповещение CloudWatch для инстанса EC2

  Аварийные сигналы CloudWatch — это строительные блоки инструментов мониторинга и реагирования в AWS. Познакомьтесь с ними, создав Amazon…

• 
  5 способов восстановить виртуальную машину Azure

  Существуют различные способы восстановления виртуальной машины Azure. Узнайте, почему вам нужно восстановить виртуальную машину, доступные методы восстановления и какие…

• 
  Преимущества и ограничения Google Cloud Recommender

  Расходы на облако могут выйти из-под контроля, но такие службы, как Google Cloud Recommender, предоставляют информацию для оптимизации ваших рабочих нагрузок. Но…

ComputerWeekly.com

• 
  ИТ-приоритеты на 2023 год: распределенные ИТ и гибридные рабочие среды, внедрение новых сетей

  Исследования показывают, что безопасность по-прежнему доминирует в сетевых потребностях наряду с необходимостью поддержки пользователей, где бы они ни находились, с . ..

• 
  Восприятие сотрудников может быть ключом к успеху инициативы ОАЭ по работе с большими данными

  Исследование показывает, какое влияние восприятие сотрудников может оказать на проекты больших данных в Объединенных Арабских Эмиратах

• 
  Клиенты пенсионного фонда Capita сообщили, что данные могли просочиться

  Компания Capita сообщила попечителям некоторых пенсионных фондов, которым она предоставляет аутсорсинговые услуги, что данные их клиентов могут иметь…

Что такое центр сертификации (ЦС)?

Что такое ЦС?

Что такое центр сертификации (ЦС)?

Центр сертификации (CA) , также иногда называемый центром сертификации , представляет собой компанию или организацию, которая действует для проверки подлинности объектов (таких как веб-сайты, адреса электронной почты, компании или отдельные лица) и привязать их к криптографическим ключам посредством выпуска электронных документов, известных как цифровые сертификаты .

Цифровой сертификат обеспечивает:
Аутентификацию , выступая в качестве учетных данных для проверки подлинности объекта, которому он выдан.
Шифрование, для безопасной связи в незащищенных сетях, таких как Интернет.
Целостность  документов , подписанных сертификатом, чтобы они не могли быть изменены третьей стороной при передаче.

Как правило, заявитель на цифровой сертификат создает 9Пара ключей 0135 , состоящая из закрытого ключа и открытого ключа вместе с запросом подписи сертификата (CSR) . CSR — это закодированный текстовый файл, содержащий открытый ключ и другую информацию, которая будет включена в сертификат (например, доменное имя, организацию, адрес электронной почты и т. д.). Генерация пары ключей и CSR обычно выполняется на сервере или рабочей станции, где будет установлен сертификат, а тип информации, включенной в CSR, зависит от уровня проверки и предполагаемого использования сертификата. В отличие от открытого ключа, закрытый ключ заявителя хранится в безопасности и никогда не должен показываться ЦС (или кому-либо еще).

После формирования CSR заявитель отправляет его в ЦС, который самостоятельно проверяет правильность содержащейся в нем информации и, если это так, подписывает сертификат в цифровой форме с помощью выдающего закрытого ключа и отправляет его заявителю.

Когда подписанный сертификат предоставляется третьей стороне (например, когда это лицо получает доступ к веб-сайту держателя сертификата), получатель может криптографически подтвердить цифровую подпись ЦС с помощью открытого ключа ЦС. Кроме того, получатель может использовать сертификат для подтверждения того, что подписанное содержимое было отправлено кем-то, у кого есть соответствующий закрытый ключ, и что информация не была изменена с момента подписания. Ключевой частью этого аспекта сертификата является так называемая цепочка доверия.

Что такое цепочка доверия?

В SSL/TLS, S/MIME, подписи кода и других приложениях сертификатов X. 509 иерархия сертификатов используется для проверки действительности издателя сертификата. Эта иерархия известна как цепочка доверия . В цепочке доверия сертификаты выдаются и подписываются сертификатами, которые находятся выше в иерархии.

Цепочка доверия состоит из нескольких частей:

1. Якорь доверия , который является исходным центром сертификации (ЦС).
2. Как минимум один промежуточный сертификат , служащий «изоляцией» между ЦС и сертификатом конечного объекта.
3. Сертификат конечного объекта , который используется для проверки подлинности объекта, такого как веб-сайт, компания или физическое лицо.

Легко увидеть цепочку доверия, проверив сертификат веб-сайта HTTPS. Когда вы проверяете сертификат SSL/TLS в веб-браузере, вы обнаружите разбивку цепочки доверия этого цифрового сертификата, включая якорь доверия, любые промежуточные сертификаты и сертификат конечного объекта. Эти различные точки проверки подкрепляются достоверностью предыдущего уровня или «ссылки», восходящей к якорю доверия.

В приведенном ниже примере показана цепочка доверия от веб-сайта SSL.com, ведущая от сертификата конечного веб-сайта обратно к корневому ЦС через один промежуточный сертификат:

Что такое якорь доверия?

Корневой центр сертификации (ЦС) служит якорем доверия в цепочке доверия. Действительность этого якоря доверия жизненно важна для целостности цепочки в целом. Если ЦС является общедоступным доверенным (например, SSL.com), сертификаты корневого ЦС включаются крупными компаниями-разработчиками программного обеспечения в свои браузеры и программное обеспечение операционной системы. Это включение гарантирует, что сертификаты в цепочке доверия, ведущей к любому из корневых сертификатов ЦС, будут доверенными для программного обеспечения.

Ниже вы можете увидеть якорь доверия с веб-сайта SSL.com ( SSL.com EV Root Certification Authority RSA R2 ):

Что такое промежуточный сертификат?

Корневой ЦС или якорь доверия может подписывать и выдавать промежуточных сертификатов . Промежуточные сертификаты (также известные как промежуточные , подчиненные или выдающие центры сертификации ) обеспечивают гибкую структуру для предоставления достоверности якоря доверия дополнительным промежуточным и конечным сертификатам в цепочке. В этом смысле промежуточные сертификаты выполняют административную функцию; каждое промежуточное звено может использоваться для определенной цели, например для выдачи сертификатов SSL/TLS или подписи кода, и даже может использоваться для предоставления доверия корневого ЦС другим организациям.

Промежуточные сертификаты также обеспечивают буфер между сертификатом конечного объекта и корневым ЦС, защищая закрытый корневой ключ от компрометации. Для общедоступных доверенных центров сертификации (включая SSL.com) базовые требования форума CA/Browser фактически запрещают выдачу сертификатов конечного объекта непосредственно из корневого центра сертификации, который должен безопасно храниться в автономном режиме. Это означает, что цепочка доверия любого публично доверенного сертификата будет включать как минимум один промежуточный сертификат.

В приведенном ниже примере SSL.com EV SSL Intermediate CA RSA R3 — единственный промежуточный сертификат в цепочке доверия веб-сайта SSL.com. Как следует из названия сертификата, он используется только для выдачи сертификатов EV SSL/TLS:

Что такое сертификат конечного объекта?

Сертификат конечного объекта является последним звеном в цепочке доверия. Сертификат конечного объекта (иногда известный как листовой сертификат или сертификат подписчика 9).0068), служит для предоставления доверия корневого ЦС через любых посредников в цепочке такому объекту, как веб-сайт, компания, правительство или физическое лицо.

Сертификат конечного объекта отличается от сертификата якоря доверия или промежуточного сертификата тем, что он не может выдавать дополнительные сертификаты.

This entry was posted in Популярное